지원사업
학술연구/단체지원/교육 등 연구자 활동을 지속하도록 DBpia가 지원하고 있어요.
커뮤니티
연구자들이 자신의 연구와 전문성을 널리 알리고, 새로운 협력의 기회를 만들 수 있는 네트워킹 공간이에요.
논문 기본 정보
- 자료유형
- 학위논문
- 저자정보
- 지도교수
- 노봉남
- 발행연도
- 2015
- 저작권
- 전남대학교 논문은 저작권에 의해 보호받습니다.
이용수10
이 논문의 연구 히스토리 (3)
2016
- 이 논문의 후속연구가 궁금하신가요?
- 연관 학술논문 또는 학술발표를 통해 보다 발전된 연구결과를 확인하실 수 있습니다.
- 이 논문의 연구 히스토리 확인하기
초록· 키워드
오류제보하기
인터넷 메신저는 네트워크를 통해 대화 및 데이터 등의 정보가 실시간으로 이루어지는 프로그램으로 현재 가장 많이 사용되는 인터넷 통신 수단이다. 이러한 정보를 통해 디지털 포렌식 관점에서 용의자의 사건에 대한 의도나 생각을 알아낼 수 있으며, 중요한 내용을 담고 있어 증거가 될 수 있다. 과거에는 메신저 데이터를 사용자 PC의 하드디스크에 보관하여 수사관이 데이터를 쉽게 수집할 수 있었다. 하지만 최근의 네트워크 통신 소프트웨어는 하드디스크에 데이터를 남기지 않고 서버에만 보관하여 데이터 확보에 어려움이 있다. 일부 메신저는 하드디스크에 통신 내역을 보관하지만 암호화하여 저장하기 때문에 파일 수집 후 복호화가 필요하다.
이러한 통신 내역 데이터는 사용자 PC의 물리 메모리에 휘발성 데이터로 존재한다. 메모리 분석 과정을 통해 사용 중인 휘발성 메모리 데이터 수집이 가능하지만 단순 메모리 추출로는 평문으로 된 정보만 추출이 가능하다. 대화 내용 및 쪽지 등의 데이터는 물리메모리 내에서 암호화되어 존재하기 때문에, 암호화 키와 암호화 패킷을 추출하지 못한다면 복호화가 불가능하다. 암호화 통신을 수행하는 네트워크 통신 프로그램에서 암호화된 패킷 데이터를 물리 메모리에서 추출할 수가 있다. 물리 메모리에서 추출된 암호화 키와 암호화 패킷을 이용하여 패킷 복호화가 가능하다. 복호화 된 패킷 정보로 기존 메모리 분석 과정에서 추출하지 못한 정보를 추출할 수 있고 더 많은 휘발성 정보를 추출할 수 있다.
인터넷 메신저 프로그램은 사용자와 서버 사이에 암호화 키를 공유하기 위하여 대화가 시작되기 전에 암호화키를 생성하기 때문에, 암호화 키는 동적으로 할당되고 힙 영역에 저장되는 특징이 있다. 또한 운영체제 가상 메모리 구조 특성 상 자주 사용되는 데이터이고 대화 내용을 자주 암호화 및 복호화를 해야 하기 때문에 물리 메모리에서 페이징이 되지 않는다. 이러한 특징을 이용하여 물리 메모리에서 암호화 키를 추출하는 시간을 줄일 수 있다.
본 논문에서는 물리 메모리 덤프 이미지에서 메신저 데이터를 추출하기 위해 윈도우 가상 메모리 구조 분석과 메신저 정보가 저장된 메모리 특징을 분석한다. 또한 실제 국내 PC 메신저를 대상으로 암호화 통신 방법, 암호화 키 저장 메모리 영역 특징, 메모리에서 암호화 패킷 추출 방법 및 암호화된 패킷 복호화 방법에 대해 분석한다.
실제 사례에서 분석된 방법을 이용하여 암호화 통신을 사용하는 PC 메신저를 대상으로 메모리 덤프 이미지에서 추출한 암호화된 패킷을 복호화하는 방법을 제시한다. 본 논문에서 제안하는 방법은 인터넷 메신저 프로그램의 암호화 데이터를 복호화 하는 데 기여하였다.
이러한 통신 내역 데이터는 사용자 PC의 물리 메모리에 휘발성 데이터로 존재한다. 메모리 분석 과정을 통해 사용 중인 휘발성 메모리 데이터 수집이 가능하지만 단순 메모리 추출로는 평문으로 된 정보만 추출이 가능하다. 대화 내용 및 쪽지 등의 데이터는 물리메모리 내에서 암호화되어 존재하기 때문에, 암호화 키와 암호화 패킷을 추출하지 못한다면 복호화가 불가능하다. 암호화 통신을 수행하는 네트워크 통신 프로그램에서 암호화된 패킷 데이터를 물리 메모리에서 추출할 수가 있다. 물리 메모리에서 추출된 암호화 키와 암호화 패킷을 이용하여 패킷 복호화가 가능하다. 복호화 된 패킷 정보로 기존 메모리 분석 과정에서 추출하지 못한 정보를 추출할 수 있고 더 많은 휘발성 정보를 추출할 수 있다.
인터넷 메신저 프로그램은 사용자와 서버 사이에 암호화 키를 공유하기 위하여 대화가 시작되기 전에 암호화키를 생성하기 때문에, 암호화 키는 동적으로 할당되고 힙 영역에 저장되는 특징이 있다. 또한 운영체제 가상 메모리 구조 특성 상 자주 사용되는 데이터이고 대화 내용을 자주 암호화 및 복호화를 해야 하기 때문에 물리 메모리에서 페이징이 되지 않는다. 이러한 특징을 이용하여 물리 메모리에서 암호화 키를 추출하는 시간을 줄일 수 있다.
본 논문에서는 물리 메모리 덤프 이미지에서 메신저 데이터를 추출하기 위해 윈도우 가상 메모리 구조 분석과 메신저 정보가 저장된 메모리 특징을 분석한다. 또한 실제 국내 PC 메신저를 대상으로 암호화 통신 방법, 암호화 키 저장 메모리 영역 특징, 메모리에서 암호화 패킷 추출 방법 및 암호화된 패킷 복호화 방법에 대해 분석한다.
실제 사례에서 분석된 방법을 이용하여 암호화 통신을 사용하는 PC 메신저를 대상으로 메모리 덤프 이미지에서 추출한 암호화된 패킷을 복호화하는 방법을 제시한다. 본 논문에서 제안하는 방법은 인터넷 메신저 프로그램의 암호화 데이터를 복호화 하는 데 기여하였다.
목차
1. 서론 1가. 연구 배경 및 필요성 1나. 연구 내용 및 범위 4다. 논문 구성 42. 관련 연구 6가. 인터넷 메신저 데이터 보관 방식 6나. OS 가상 메모리 구조 및 암호화 키 특징 81) OS 가상 메모리 구조 82) 암호화 키 데이터 특징 10다. 암호화 키 추출 방법 연구 111) 메모리 내 고정된 주소에서 키 추출 112) 메모리 내 특정 패턴 기반 추출 123) 키 스케쥴(Key Schedule) 및 알고리즘 특징 탐색을 통한 키 추출 124) 운영체제 데이터 구조 파싱(Parsing)을 통한 키 추출 145) 사전식 메모리 전수 조사에 의한 키 추출 146) 키를 포함하는 소스코드 구조체 탐색을 통한 키 추출 157) 암호화 테이블 탐색을 통한 키 추출 163. 연구 내용 17가. 암호화된 패킷 카빙 방법 171) 시그니처 기반 암호화된 패킷 카빙 방법 172) TCP/IP 기반 암호화된 패킷 카빙 방법 18나. 암호화를 이용하지 않는 메신저 프로그램 21다. 암호화를 이용하는 메신저 프로그램 221) 암호화를 이용하는 상용 메신저 222) 카카오톡(PC 버전) 233) 라인(PC버전) 254) 마이피플(PC버전) 265) 텔레그램(PC버전) 276) 암호화 통신 관련 메신저 분석 28라. 메신저 암호화 메커니즘(A사) 281) 암호화 통신 과정 292) 암호화/복호화 알고리즘 분석 303) 암호화 알고리즘 및 키 블록 구조체 파악 314) 암호화 키 특징 315) 암호화 패킷 특징 336) 암호화된 패킷 복호화 347) A사 메신저 분석 결과 35마. 메신저 정보의 특성 361) 메신저 정보의 특성 362) 메신저 정보의 휘발성 연구 37바. 물리 메모리 내 암호화 키 저장 영역 38사. 물리 메모리 내 암호화 패킷 복호화 과정 424. 제안하는 메신저 데이터 추출 방안 44가. 메신저 암호화 키 추출 흐름도 44나. 복호화된 패킷 데이터의 활용 46나. A사 메신저 데이터 추출 실험 및 결과 471) 메신저 데이터 추출 실험 및 결과 475. 결론 및 향후 연구 48참고문헌 49영문초록 53
최근 본 자료
댓글(0)
0